ตอนก่อนหน้า: Data 4.0 (ภาค 2)

สวัสดีตัวเองและชาวโลกอีกครั้งนึงฮะ

ต่อจากภาคที่แล้ว เรามาคุยกันต่อที่ว่า ข้อมูลจริงๆ ของลูกค้า ที่เราเก็บเนี่ย มันมีอะไรบ้าง สำคัญยังไง แล้วจะรักษามันไว้แบบไหน

ข้อมูลของลูกค้ามีอะไรบ้าง

ไม่ต้องมองไปไหนไกล เรานี่แหละฮะ คือ ลูกค้าของคนอื่น

ข้อมูลที่เรามี มันจะไปอยู่กับคนอื่นแน่นอนสักทางใดทางนึง ขึ้นอยู่กับว่าเรายอมให้อะไร และบ่อยแค่ไหนฮะ

สมมติเหมือนเดิมว่า เราเปิดร้านขายไก่ย่างข้าวเหนียว (พิมพ์ไปหิวไป)

ข้อมูลที่เราอาจจะต้องเก็บเอาไว้ คือ

  1. ชื่อ นามสกุลของลูกค้า อันนี้อาจมี ถ้าเราให้ลูกค้าสามารถสมัครสมาชิกได้
  2. เบอร์โทร ถ้าเราให้ลูกค้าสามารถโทรสั่งเดลิเวอรี่ได้
  3. ที่อยู่ แน่นอนฮะถ้าลูกค้าเค้าจะสั่งเดลิเวอรี่ ก็ต้องระบุข้อมูลที่อยู่ตรงนี้
  4. อีเมล์ ถ้าเรามีบริการจดหมายข่าวอะไรอย่างนี้ ส่งโปรโมชันว่า ช่วงนี้ลดราคาบ้างอะไรบ้างฮะ

เนี่ย ที่ว่ามาเป็นแค่ส่วนเล็กๆนะฮะ ถ้าเรามีโมเดลธุรกิจต่างไปจากนี้ ก็อาจจะเก็บข้อมูลต่างไปจากที่ว่ามาฮะ

ถ้าเราไม่ให้ข้อมูลของเราล่ะ?

แน่นอนฮะ เกือบทุกเจ้าที่ให้บริการนั่นนี่ ที่ขอข้อมูลไป ถ้าคุณไม่ให้เค้า เค้าก็อาจจะไม่ให้คุณใช้บริการเค้าล่ะฮะ ประเด็นจึงอยู่ที่ว่า เราเชื่อใจ เชื่อมั่นในความปลอดภัย การเก็บรักษาข้อมูลของเรามากน้อยแค่ไหน แล้วทางเค้ามีมาตรการ เครื่องมือ หรือวิธีการยังไงบ้างที่ทำแล้วมั่นใจ (ที่สูงในระดับนึง)​ ว่า เค้าพร้อมที่จะให้บริการเรา ให้เราวางใจได้นะ

ข้อมูลสำคัญของเรา มีเรื่องอะไรบ้างอะ?

มีศัพท์อยู่คำหนึ่งฮะที่ใช้เรียกข้อมูลสำคัญพวกนี้ นั่นคือ

PII (Personal Identifying Information)

คำนี้ แปลตรงๆ คือ ข้อมูลระบุตัวบุคคล​ หมายความว่า คนที่รู้ข้อมูลนี้ จะรู้ได้เลยว่า เราเป็นใครฮะ อะไรบ้างล่ะที่เป็นข้อมูลประเภทนี้ ทั่วๆไปเลย ก็มีดังนี้ฮะ

  1. ชื่อ นามสกุล
    สมัยก่อนผมเคยเจอคนที่ชื่อกับนามสกุลเหมือนกันนะ แต่ความจริงมันมีโอกาสเกิดขึ้นน้อยถึงน้อยมาก ดังนั้น ถ้าคนอื่นรู้ชื่อกับนามสกุลเรา เค้ารู้ตัวตนเราแน่นอนฮะ
  2. เบอร์โทรศัพท์
    สมัยนี้แล้วอ่ะเนอะ การจะซื้อซิมมือถือ ก็ต้องลงทะเบียน จะใช้เบอร์บ้านก็ต้องไปสมัคร ลงทะเบียนอีก รู้ตัวตนเราแน่นอนถ้ารู้เบอร์ฮะ
  3. อีเมล์
    ถึงแม้ว่าสมัยนี้จะสมัครอีเมล์ง่ายดายมากมายก็เถอะฮะ แต่ส่วนใหญ่เราใช้อีเมล์ติดต่องานกัน จึงยังถือว่าอีเมล์เป็นข้อมูลระบุตัวตนได้อยู่นะฮะ
  4. ข้อมูลพิกัดพื้นโลก
    หรือสมัยนี้เรียกว่า โลเคชัน เนอะ อันนี้คือ รู้แล้วชี้เป้าได้เลยล่ะฮะ เพราะข้อมูลนี้มักเก็บเอาไว้พร้อมกับเวลา แปลว่า รู้ได้เลยว่าคนนี้อยู่ที่ไหนตอนไหนฮะ
  5. IP Address
    นี่ก็ไม่แพ้กัน ในยุคสมัยที่มือถือใช้กันเยอะกว่าคอมพิวเตอร์ที่บ้าน การเล่นอินเตอร์เน็ตที่ต้องมีข้อมูล IP adress ระบุอุปกรณ์บนเครือข่ายอินเตอร์เน็ตกับมือถือที่เล่นเน็ตได้ทุกที่ ข้อมูลนี้สำคัญเทียบเท่ากับเบอร์โทรศัพท์กับโลเคชันรวมกันเลยนะฮะ
  6. ID ของผู้ใช้บริการ
    เช่น Facebook ID หรือ Twitter ID อันนี้ถ้ามันอยู่โดดๆของมันก็ไม่ค่อยน่ากลัวเท่าไหร่ แต่ถ้าเอาไปรวมกับอีเมล์ หรือเบอร์โทรศัพท์เนี่ย นอกจากจะรู้ตัวตนแล้ว ยังรู้ถึงการแสดงออกของเราบนโลก social media ด้วยนะฮะ
  7. ที่อยู่
    ข้อมูลที่สุดจะระบุตัวตนของเราเลยฮะ รู้ยันบ้านเลขที่นั่นเอง
  8. หมายเลขบัตรประจำตัวประชาชน/ใบขับขี่/พาสปอร์ต
    ข้อมูลที่สุดอีกเหมือนกันฮะ คนอื่นรู้นี่เอาไปใช้ทำอะไรๆ กับทางการได้หลายอย่างเลยนะฮะ
  9. หมายเลขบัญชีธุรกรรม
    หรือเลขบัญชีธนาคาร แน่นอนว่าอันนี้ต้องรักษาด้วยความปลอดภัยมากระดับนึงเลยล่ะฮะ

แล้วเราจะดูแลข้อมูลพวกนี้ยังไงล่ะ

ข้อมูลของเรา อย่างน้อยถ้าเราจะให้ใครไป ก็ใช้ดุลยพินิจของตัวเองนะฮะ คนนั้นเชื่อใจได้มากน้อยแค่ไหน เขามีระบบ มีมาตรการป้องกันไม่ให้ข้อมูลเราไปอยู่ในมือของคนอื่นที่เราไม่ได้ให้ มีอะไรเตือนเราถ้ามันฉุกเฉินจริงๆ มั้ย ผู้ให้บริการมีภาพลักษณ์ มีชื่อเสียง มีอะไรที่จะมาเพิ่มความมั่นใจให้เราฝากข้อมูลตรงนี้ได้บ้าง พวกนี้แหละฮะที่ลูกค้าอย่างเราต้องตรวจสอบก่อนจะใช้บริการเค้าฮะ

แล้วถ้าเราเป็นผู้ให้บริการล่ะ

เมื่อลูกค้าไว้ใจเราแล้ว เราก็ต้องใช้เครื่องมือ วิธีการหลายๆอย่างเพื่อคุ้มครองข้อมูลลูกค้านะฮะ ข้างล่างนี่คือวิธีการที่ผมเคยใช้ และกำลังใช้อยู่นะฮะ

  • เก็บข้อมูลสำคัญๆ ไว้ในระบบของตัวเอง ไม่เก็บไว้บนคลาวด์
    จริงอยู่ว่า คลาวด์เจ้าดังๆในโลกก็โปรโมตความปลอดภัยของเค้าแหละ SLA เฉียดร้อยอย่างนี้ แต่ถ้าเรามีระบบของเราเอง ควบคุมการเข้าออกของระบบเชื่อมต่อได้เอง มันจะดีกว่าฮะ ถ้าเก็บในที่ของตัวเอง
  • เข้ารหัสข้อมูลที่อนาคตจำเป็นต้องใช้งานอีก
    ข้อมูลสำคัญที่ควรจะเข้ารหัส ก็เป็นพวกที่ร่ายมาข้างต้นนั่นล่ะฮะ มันเป็นข้อมูลที่ต้องเอามาใช้ประโยชน์อีกแน่ๆ ภายในองค์กรของเรา ดังนั้น เข้ารหัสโดยใช้วิธีมาตรฐาน หนึ่งในนั้นที่ผมใช้บ่อยสุด เรียกว่า AES 256 bit ฮะ
  • แฮชข้อมูลที่ไม่ต้องใช้ค่าจริงๆ ของมัน
    แฮช (Hash) คือ การเปลี่ยนแปลงข้อความนึงให้เป็นอีกข้อความนึงด้วยวิธีทางคณิตศาสตร์ และไม่สามารถแปลงกลับได้ฮะ เราสามารถใช้วิธีการนี้กับข้อมูลระบุตัวตนบางอย่าง ที่ไม่จำเป็นต้องใช้งานในรูปของค่าจริง เช่น ถ้าต้องการโทรเตือนให้ลูกค้าที่ยังไม่ได้ยืนยันเลขบัญชีธนาคาร ไปยืนยันด้วย ก็อาจจะให้ฝ่ายดูแลข้อมูลบัญชีส่งรายชื่อเลขบัญชีที่ถูกแฮชเอาไว้ของลูกค้าที่ตรงตามเงื่อนไข ไปให้ฝ่ายลูกค้าสัมพันธ์ ฝ่ายลูกค้าสัมพันธ์จึงหาเบอร์โทรของลูกค้าที่ตัวเองดูแล จากค่าแฮชที่ตรงกัน ประมาณนี้ฮะ

ครั้งหน้า จะมาเล่าถึงมาตรการการรักษาความปลอดภัยที่องค์กรใหญ่ๆ เค้ากำหนดมา นั่นคือ GDPR ฮะ

อ้างอิง
https://en.wikipedia.org/wiki/Personal_data
https://en.wikipedia.org/wiki/Hash_function

ตอนต่อไป: Data 4.0 (ภาค 4)